Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
Antivierensoftware ist tot!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Situation
Bugs VPNProfessionelle Hacker greifen alles erfolgreich an!
Wir haben zurzeit zu viele ungelöste IT-Sicherheitsprobleme NSA und Co. sammeln alle Daten und werten fleißig aus!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Bewertung
Wirtschaftsspionage 50 Milliarden Euro Schaden im Jahr
Können wir uns als Wissensgesellschaft nicht leisten!
Der Wert der Privatsphäre
Eine Gesellschaft, die wirtschaftlich und politisch auf die
Eigenverantwortlichkeit des Einzelnen setzt, muss umgekehrt das schützen, was den einzelnen als Sozialwesen und
als Wirtschaftsfaktor ausmacht:
einerseits seine persönliche Integrität, andererseits seinen materiellen Besitz.
Cyber War
Angriffe auf Kritische Infrastrukturen Umstieg auf alternative Energien prinzipielle höhere Angreifbarkeit
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Die größten Herausforderungen
IT
Sicherheits-probleme
Zeit
heuteSnowden
Neue Gefahren durch mobile GeräteManipulierte IT und IT Sicherheitstechnologie
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Malware
Definition
Malware ist der Oberbegriff für "Schadsoftware" wie Viren, Würmer,
Trojanische Pferde, usw.
Angreifer (kriminelle Organisationen, Spione, Terroristen, …) nutzen
Software-Schwachstellen, Social Engineering, … aus, um
Malware auf IT-Endgeräten zu installieren.
Über E-Mail-Anhänge oder unsichere Webseiten mit Hilfe von
sogenannten Drive-by Downloads wird hauptsächlich Malware in
IT-Endgeräte unbemerkt eingeschleust.
Das Institut für Internet-Sicherheit geht zurzeit davon aus, dass auf
jedem 20. IT-Endgerät in Deutschland ungewollte intelligente
Malware vorhanden ist, die über ein Botnetz gesteuert wird.
Ein Botnetz ist eine Gruppe von IT-Endgeräten, die unter zentraler
Kontrolle eines „Angreifers“ stehen und von ihm für Angriffe genutzt
werden (Business-Konzept: Erstellen, verteilen und nutzen).
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Malware
Schadfunktionen
Spreading (Verbeitung von Malware, …)
Keylogger (Nutzername/Passwort, Kreditdaten, …) 18 Mio. in Drop-Zone gefunden (BSI)
Webcamp (beobachten von Aktivitäten, …)
Datendiebstahl/-manipulation (Trojanische Pferde, …) Spammen (80 bis 95 % von Malware, …)
Distributed Denial of Service (Tendenz steigend, …)
Klickbetrug (Click fraud – Bezahlung für jeden Klick des Besuchers, … ) Nutzung von Rechenleistung (Bitcoin schürfen, …)
Datenverschlüsselung (Lösegeld, Denial of Working, …) … (alles, was mit Software möglich ist)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Malware
Advanced Persistent Threat (APT)
Gezielter Angriff (direkter Anagriff)
Aufwendige Hintergrundinformationen eines Opfer-IT-Systems und dessen Umgebung (IT-Intrastruktur, Technologien, Personen, …) Großer Aufwand (Advanced)
Mit komplexen Angriffstechnologien und -taktiken sowie professionellen Angreifern
(die besten der Welt – virtuellen Zusammenarbeit) Social Engineering
Möglichst lange (Persistent) unentdeckt bleiben Langfristiges Auslesen von wertvollen Daten Manipulation von IT-Systemen (Stuxnet)
Wir haben heute im Prinzip keine passenden Abwehrtechnologien gegen APTs im Einsatz!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Malware
Ungenügender Schutz vor Malware
Schwache Erkennungsrate bei Anti-Malware Produkten
nur 75 bis 95%!
Bei direkten Angriffen
weniger als 27%
0% 27% 100% Day 3 24h Day 14 proactive detection signature-based detection Security gapsProf . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Fazit und Ausblick
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Nicht alle IT-Systeme ans Internet anschließen So wenig wie möglich Daten generieren
Keine Technologie mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Schwachstellenampel vom BSI (siehe auch securityNews) weitere Reputationssysteme
…
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!
Ist nur begrenzt umsetzbar,
wenn wir IT mit allen Vorteilen nutzen wollen!
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
IT-Sicherheitstechnologien mit einer hohen Wirkung gegen Angriffe (NSA arbeitet dagegen, z.B. schlechte Zufallszahlengeneratoren) Beispiele, bei denen ein hoher Nachholbedarf besteht:
Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...), Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …), Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, …) …
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider sind zurzeit nicht genug
wirkungsvolle
undvertrauenswürdige
IT-Sicherheitstechnologien im EinsatzDirect Threat
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren.
Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden.
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen.
Attack trial Monitoring Monitoring Monitoring Assets
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Internet-Analyse-System (IAS)
Botnetz-Erkennung
IAS
Internet
Eigenes Netz
Angriffserkennung Signaturerkennung Erweitert mit- Erkennen von Angriffs- und Gefahrensituationen - Experten-System
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Big Data Security (Erkennen)
Grundsätzliche Idee
Kontext-Daten Schwachstellen, Hintergrundinformationen, … Big Data Security…
…
…
APT Lagebild Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen OS 20
Wirkungsvolles Entgegenwirken
Vertrauenswürdige Basis: Idee
Hardware
OS OS
Security Kernel / Virtualization
App
Isolation Policy EnforcementApp
Modularization Trusted Computing Base VirtualizationTrusted Software Layer
App
Security Module Trusted Boot Remote Attestation, Binding, Sealing … Trusted Plattform Integrity Control Robustness/Modularity Trusted Interaction Trusted Process Security ManagementApp
App
Trusted Virtual DomainsProf . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Wirkungsvolles Entgegenwirken
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Aufteilung in verschiedene virtuelle Maschinen
( unterschiedliche Aufgaben und Sicherheitsbedarfe – 1 )
Wirkungsvolles Entgegenwirken
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Aufteilung in verschiedene virtuelle Maschinen
( unterschiedliche Aufgaben und Sicherheitsbedarfe – 2 )
Wirkungsvolles Entgegenwirken
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Wichtige Daten werden besonders
in separaten, isolierten virtuellen Maschinen geschützt
Wirkungsvolles Entgegenwirken
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Security Policies und ein Enforcement System sorgen
für mehr Sicherheit und Vertrauenswürdigkeit
Wirkungsvolles Entgegenwirken
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen
Wirkungsvolles Entgegenwirken
Forschung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Bewertung, Herausforderungen)
Malware
(Definition, Schadfunktionen, APT, Erkennungsrate)
Prinzipielle IT-Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Wie können wir das Problem lösen?
(Botnetz-Erkennung, Big Data Security,
Vertrauenswürdige IT-Systeme)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Wie geht es weiter in der IT-Sicherheit?
Fazit und Ausblick
Klar ist, dass wir uns zurzeit nicht angemessen gegen die professionellen Hacker schützen können!
Die 5 % unserer wichtigen und wertvollen Daten müssen wir wirkungsvoll schützen (Vertrauenswürdige IT-Systeme,
Verschlüsselungssicherheitssysteme, …), um
Schaden zu
verhindern
!Botnetz-Erkennung / Big Data Security ist ein Ansatz, der uns helfen könnte, komplexe Sicherheitsprobleme zu identifizieren und damit Schäden zu vermeiden oder zu reduzieren.
Vertrauenswürdige IT-Systeme (Security Kernel, Isolierung und
Separierung, …) werden uns helfen, uns angemessen schützen zu können. Diese Systeme sollten aus Deutschland kommen, um vertrauenswürdig IT-Sicherheit erreichen zu können.
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de